阿里云-云小站(无限量代金券发放中)
【腾讯云】云服务器、云数据库、COS、CDN、短信等热卖云产品特惠抢购

Docker信息泄露防范

70次阅读
没有评论

共计 2159 个字符,预计需要花费 6 分钟才能阅读完成。

导读 云时代流行的今天,云和容器成了日常工作的一部分。这样就涉及一个安全问题,在容器使用过程中常常要构建镜像,在构建进行并 push 到公共存储(私有项目不要存储大公共注册表),其中可能会涉及有些敏感信息和机密数据泄露。比如 IP 地址,密码,私钥等信息。本文我们就来说说在实践中如何避免敏感信息的泄露。包括基本语法,镜像编译,运行时以及安全扫描等方法。
概述

容器和 Docker 让我们的日常更加便捷,但是同时也会很容易将一些信息不小心泄露给公众造成安全问题。密码,云凭证和 SSH 私钥,如果配置不当,一不小心就会泄露。除非建立一套安全事件策略,综合防护,一些案例:

Codecov 供应链攻击:

2021 年 4 月 1 日,由于 Codecov 一个 Docker 文件配置失误,攻击者可以窃取凭据并修改客户使用的 Bash Uploader 脚本。通过恶意代码修改 Bash Uploaders,并将环境变量和从一些客户的 CI/CD 环境中收集的密钥泄露给了一个受攻击者控制的服务器。

Docker 信息泄露防范

受到该事件影响,HashiCorp 用于发布签名和验证的 GPG 密钥被泄露,目前已经采用轮换机制定期更换私钥。

其他由于 Docker Hub 公共镜像导致的泄露还包括(不限于):

AWS 账户和凭据,SSH 私钥,Azure 密钥,.npmrc 令牌,Docker Hub 账户,PyPI 存储库密钥,SMTP 服务器认证信息,eCAPTCHA 密码,Twitter API 密钥,Jira 密钥,Slack 密钥以及其他一些密钥等。

COPY 方法

DockerFile 语法中常见的一个 COPY 方法:

FROM debian:buster 
COPY . /app

默认情况下,该语句会将当前目录中所有内容的复制到镜像中。这些内容中可能会包含敏感信息的文件:例如站点.env。

一旦敏感信息,被放到 Docker 镜像中,则任何可以访问该镜像的用户都可以看到这些信息。为了防止由于 COPY 导致的敏感信息泄露:

    限制复制内容:只复制必须的特定文件或目录。例如:
COPY setup.py myapp/app
    .dockerignore:使用.dockerignore 确保敏感文件不被复制到镜像中去,一个典型的配置:
NOTICE 
README.md 
LICENSE 
AUTHORS.md 
CONTRIBUTING.md 
.vscode/ 
vendor/ 
env/ 
ENV/ 
build/ 
dist/ 
target/ 
downloads/ 
eggs/ 
.eggs/ 
lib/ 
lib64/ 
parts/ 
sdist/ 
var/ 
Dockerfile 
.git 
.editorconfig 
*.egg-info/ 
.installed.cfg 
*.egg 
*.manifest 
*.spec 
.gcloudignore 
.gitignore 
.tox/ 
.dockerignore 
.coverage 
.coverage.* 
.cache 
htmlcov/ 
nosetests.xml 
coverage.xml 
*,cover 
.hypothesis/ 
ssh/ 
id_rsa 
.git-credentials 
config.*
    避免手动生成镜像:与 CICD 自动生成系统相比,开发环境更容易涉及敏感文件,因此在开发环境手动生成公共镜像更容易导致泄露。
    使用 CI 环境变量:如果 CI 或构建环境需要使机密信息,需要将其配置在环境变量中,而不要通过文件访问。
镜像编译

有时需要在构建 Docker 镜像时使用机密,例如访问私有软件包存储库的密码。

FROM python:3.9 
RUN pip install \ 
--extra-index-url User:pass@priveapk.example \ 
package privatepackage

直接在 URL 包含了用户名和密码会直接导致其泄露。可以使用环境变量形式来应用:

export MYSECRET=secretpassword 
export DOCKER_BUILDKIT=1 
docker build --secret --secret id=mysecret,env=MYSECRET .
运行时

有些密码是需要在容器运行时候需要访问的,比如访问数据库的凭据。同样的运行时机密也不能直接存储在镜像中。

除了镜像内容导致意外泄露,这种存储在镜像中的配置也绑定了环境,不便于镜像灵活运行。在运行容器时可以通过多种方法将机密传递给容器:

    使用环境变量。
    与绑定机密文件的卷。
    编排系统 (如 K8S) 的密码管理机制。
    在公有云环境中,可以使用云环境变量和授权。比如 AWS 的 IAM 角色管理。
    外部密钥库。

通过以上这些机制,可以避免运行时敏感信息存储在镜像本身中。

安全扫描

除了上面一些管理方面策略外,还有一个主动方法就是自动地进行安全扫描。市面上有很多密码扫描工具,可以扫描目录或者 Git 仓库,如果包含敏感信息则会直接告警。比如 detect-secrets,trufflehog

Docker 信息泄露防范

也有对镜像扫描的工具,比如 pentester 可以扫描 Docker Hub 镜像,发现问题。

Docker 信息泄露防范

总结

本文我们讨论了容器敏感信息防泄露的一些安全方法,包括基本语法,镜像编译,运行时以及安全扫描等方法。综合使用这些方法和策略,可以有效地防止容器使用时候的敏感信息泄露,从而提高安全。

阿里云 2 核 2G 服务器 3M 带宽 61 元 1 年,有高配

腾讯云新客低至 82 元 / 年,老客户 99 元 / 年

代金券:在阿里云专用满减优惠券

正文完
星哥玩云-微信公众号
post-qrcode
 0
星锅
版权声明:本站原创文章,由 星锅 于2024-07-25发表,共计2159字。
转载说明:除特殊说明外本站文章皆由CC-4.0协议发布,转载请注明出处。
【腾讯云】推广者专属福利,新客户无门槛领取总价值高达2860元代金券,每种代金券限量500张,先到先得。
阿里云-最新活动爆款每日限量供应
评论(没有评论)
验证码
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中